Nhiễm Độc Chuỗi Cung Ứng: Khi các bản cập nhật đáng tin cậy trở nên độc hại
Tóm tắt: Bạn cực kỳ cẩn thận. Bạn không truy cập các trang web mờ ám. Bạn không sử dụng phần mềm bẻ khóa. Bạn chỉ cập nhật phần mềm hợp pháp. Và bạn vẫn bị hack. Đây là cơn ác mộng của vụ hack 'Ledger Connect Kit' và cách bảo vệ bản thân khỏi các nguồn đáng tin cậy.
1. Sự cố Ledger Connect Kit
Vào tháng 12 năm 2023, thế giới tiền điện tử nín thở.
Ledger không bị hack trực tiếp. Một thư viện mà Ledger sử dụng đã bị hack.
Một cựu nhân viên đã bị lừa đảo (phishing). Hacker đã giành được quyền truy cập vào tài khoản NPM của anh ta và tải lên mã độc hại vào thư viện @ledgerhq/connect-kit.
Đột nhiên, mọi trang web (SushiSwap, Revoke.cash, v.v.) sử dụng phiên bản mới nhất của thư viện này bắt đầu tự động hiển thị cửa sổ ví giả mạo cho người dùng.
Người dùng không làm gì sai cả. Họ đã truy cập đúng trang web, nhưng trang web đã tải một "chuỗi cung ứng" (Supply Chain) bị nhiễm độc.
2. Cách thức hoạt động
Phần mềm hiện đại giống như Lego. Các nhà phát triển không tự viết tất cả mã. Họ lấy "phần phụ thuộc" (Dependencies/Libraries) từ những người khác.
- Ứng dụng của bạn sử dụng Thư viện A.
- Thư viện A sử dụng Thư viện B.
- Thư viện B bị xâm phạm.
Hacker thích điều này vì hack một thư viện mang lại cho chúng hàng triệu nạn nhân cùng một lúc.
3. Cách bảo vệ bản thân (Dành cho Người dùng)
Làm thế nào để bảo vệ chống lại thứ bỏ qua ngay cả những gã khổng lồ công nghệ?
Quy tắc "Chờ đợi" (The Wait Rule)
Khi một bản cập nhật lớn hoặc tính năng mới ra mắt, đừng là người đầu tiên cập nhật.
Hãy cho cộng đồng (và Twitter/X bảo mật tiền điện tử) 24-48 giờ để xem xét. Nếu có một cuộc tấn công chuỗi cung ứng, tin tức sẽ lan truyền như cháy rừng.
Kiểm tra Kép
Nếu dApp yêu thích của bạn yêu cầu bạn Bật (Enable) hoặc Phê duyệt (Approve) điều gì đó lạ:
- Kiểm tra Twitter của họ.
- Kiểm tra Discord của họ.
- Kiểm tra các nhà nghiên cứu bảo mật trên Twitter (như @zachxbt).
Nếu mọi nơi đều yên tĩnh... có lẽ là an toàn. Nhưng nếu mọi người đều hét lên "KHÔNG KẾT NỐI" (DO NOT CONNECT), bạn vừa tự cứu mình.
Kết luận
Trong một thế giới kết nối, sự an toàn của bạn phụ thuộc vào mắt xích yếu nhất. Đôi khi, trở thành người "chấp nhận muộn" (Late Adopter) và không cập nhật ngay lập tức lại an toàn hơn là người tiên phong.
Sẵn Sàng Áp Dụng Kiến Thức Của Bạn Vào Thực Tế?
Bắt đầu giao dịch được hỗ trợ bởi AI một cách tự tin ngay hôm nay
Bắt ĐầuBài Viết Liên Quan
Lá Chắn Giấy (The Paper Shield): Cách sao lưu Cụm từ Hạt giống đúng cách
Ảnh chụp màn hình là thảm họa. Đám mây là máy tính của người khác. Cách an toàn duy nhất để lưu trữ khóa riêng tư là 'thép' và 'giấy'.
Trò Lừa Dài Hạn (The Long Con): Tâm lý học đằng sau 'Mổ Lợn'
Cô ấy không nhắn tin nhầm số. Và cô ấy không yêu bạn. Đi sâu vào 'Sha Zhu Pan', trò lừa đảo tiền điện tử tàn bạo nhất, và cách phát hiện kịch bản.
Đừng Giao Dịch Nơi Bạn Chơi: Tại sao bạn cần một Laptop Crypto riêng biệt
PC chơi game của bạn đầy cửa hậu (backdoor). Điện thoại của bạn đầy rẫy trình theo dõi. Tại sao mua một 'thiết bị ngân hàng' riêng biệt giá 200 đô la là bảo hiểm tốt nhất.